ESET objavil v sieti európskej diplomatickej inštitúcie dve nové zadné dvierka: Bezpečnostní experti majú aj hlavného podozrivého
Bezpečnostní experti z ESETU odhalili dve nové zadné dvierka, ktoré hackerom umožnili prístup do siete európskeho Ministerstva zahraničných vecí.
Bezpečnostní experti z ESETu odhalili dve doteraz nepozorované zadné dvierka, ktoré sa nazývajú LunarWeb a LunarMail. Tieto zadné vrátka boli nainštalované na sieťach európskeho Ministerstva zahraničných vecí a ich operáciách v zahraničí.
Analytici predpokladajú, že nástroje z rodiny Lunar hackeri využívali minimálne od roku 2020. Na základe podobností jednotlivých útokov bezpečnostní experti predpokladajú, že za útokmi stojí proruská hackerská skupina Turla. Nemôžu to ale potvrdiť s vysokou istotou. Turla je skupinou, ktorá sa venuje primárne kyberšpionážnym kampaniam.
ESET vysvetľuje, že aktivity Turly sa datujú minimálne do roku 2004 a objavujú sa náznaky, že skupina vykonávala útoky aj koncom 90. rokov. Keďže spadá pod ruské spravodajské úrady, cieľmi skupiny sú hlavne dôležité vládne a diplomatické inštitúcie v Európe, centrálnej Ázii a Strednom východe.
Turla má na konte niekoľko veľkých operácií. V roku 2008 sa im podarilo nabúrať sa do amerického Ministerstva obrany a v roku 2014 hackli švajčiarsku zbrojovku RUAG. Čo sa nových útokov týka, pátranie ESETu začalo odhalením loaderu, ktorý rozšifroval a spustil škodlivé súbory z externého súboru. Toto viedlo k odhaleniu doteraz neznámych zadných dvierok, ktoré vedci nazvali LunarWeb.
Zadné dvierka sú druh malvéru, ktorý hackerom umožňuje vrátiť sa do napadnutej siete, ak by potrebovali vykonať nejaké dodatočné operácie. Objavenie LunarWebu bezpečnostných expertov doviedlo k odhaleniu celého reťazca, ktorý napádal európske Ministerstvo zahraničných vecí.
Neprehliadni
Popri tom vedci odhalili aj druhé zadné dvierka LunarMail. Tento softvér využíva odlišnú metódu command and control komunikácie. Počas iného útoku ESET pozoroval simultánne použitie LunarWebu v prípade troch diplomatických inštitúcii Ministerstva zahraničných vecí na Strednom východe. Tieto útoky sa odohrali minúty po sebe.
Stoja za útokmi ruskí hackeri?
Vyšetrovanie naznačuje, že útočníci mali pravdepodobne predchádzajúci prístup do siete a využili ho pre laterálny pohyb na zariadenia, ktoré sa nachádzali na rovnakej sieti.
“Naše vyšetrovanie odhalilo aj ďalšie stopy. Našli sme komponenty, ktoré hackeri použili v pôvodných fázach útoku a odhalili sme aj obmedzený počet príkazov, ktoré útočníci použili,” píše ESET.
ESET ale nedokáže povedať, ako útočníci získali prvotný prístup k sieti. Dôkazy však používajú na spearphishingové kampane, ktoré zneužívali zle nakonfigurovanú sieť a monitorovací program Zabbix. Druhá metóda útoku mohla prebiehať cez Word dokument, ktorý nainštaloval LunarMail zadné vrátka cez škodlivé makro.
“Podarilo sa nám odhaliť dve predtým neznáme zadné vrátka, ktoré zo strednou mierou istoty prikladáme proruskej hackerskej skupine Turla. Obe zadné vrátka zdieľajú loader a podporujú podobné príkazy, no používajú iné C2 komunikačné metódy,” píše ESET.
Hackeri napádajú primárne diplomatické a vládne inštitúcie, nie bežných užívateľov. Zadné dvierka LunarWeb sa pokúšajú maskovať napodobňovaním premávky legitímnych služieb ako Windows Update. Zadné dvierka LunarMail sa zas maskujú za Outlook a komunikujú pomocou e-mailu. Dáta posielajú cez PNG súbory alebo PDF dokumenty.
Komentáre